Así fue como un hacker entró al streaming del Mundial 2026 y tuvo control total: “pude parar la transmisión”

La transmisión que ven millones de personas del Mundial 2026 estuvo en riesgo, luego de que una investigadora de ciberseguridad lograra acceder al servicio oficial de streaming, obteniendo control total sobre las retransmisiones en vivo y las herramientas internas que gestionan la cobertura global del evento.

Este incidente expuso una vulnerabilidad grave en la infraestructura digital de la FIFA, que ya reaccionó ante la situación, para evitar que la estabilidad de la plataforma se viera afectada.

Cómo se dio acceso inesperado que sirvió de alerta en el Mundial 2026

BobDaHacker, la investigadora encargada de este hallazgo, explicó que la FIFA tiene una plataforma donde cualquier persona puede registrarse como agente de futbolistas, solo proporcionando datos personales, un documento de identidad y un correo electrónico.

Al completar este proceso, la investigadora obtuvo acceso inicial a la web de Agentes de Fútbol de la FIFA. Desde allí, intentó avanzar hacia la plataforma de datos internos, que contiene información pública sobre equipos y futbolistas.

Aunque en principio la plataforma le negó el acceso a datos restringidos, indicando que su cuenta no tenía roles asignados, la situación cambió cuando examinó el funcionamiento de la aplicación.

Descubrió que toda la verificación de permisos ocurría únicamente del lado del cliente, es decir, en el navegador, basándose en un marcador digital denominado JWT. Si este marcador indicaba “NO_ROLES”, se bloqueaba el acceso visualmente, pero el servidor detrás no realizaba ninguna comprobación adicional.

Así, pudo sortear este control superficial y obtener acceso completo al panel de gestión de streaming del Mundial.

“Me quedé con la boca abierta”, relató la investigadora al narrar su experiencia. El acceso que consiguió le permitió controlar absolutamente todos los streamings, tanto en vivo como en diferido, de cada uno de los partidos del Mundial 2026.

Podía elegir cualquier cámara de los estadios, acceder a las claves de transmisión, e incluso tenía la posibilidad de detener la señal en directo, lo que habría dejado a cientos de millones de espectadores ante una pantalla en negro.

Los potenciales riesgos que se pudieron evitar

La magnitud de la vulnerabilidad descubierta era considerable. BobDaHacker no solo pudo ver partidos en su propio ordenador mediante reproductores convencionales, gracias a las claves incrustadas en las URLs, sino que también tenía la capacidad de reemplazar la señal original por cualquier otro vídeo.

Esto significa que, en teoría, podría haber interrumpido la retransmisión internacional para insertar un contenido diferente, como el conocido meme del “rickroll” de Rick Astley.

El control no se limitaba a la señal visual. La investigadora tenía acceso a las pantallas de los comentaristas, pudiendo modificar en tiempo real las notas editoriales, los datos estadísticos, las alineaciones y los resultados que los periodistas utilizan durante las transmisiones en directo. Incluso era posible manipular eventos críticos del partido, como adelantar o retrasar el pitido inicial del árbitro.

“Un solo atacante podía secuestrar todas las cámaras de forma simultánea. Un atacante podría haber tomado el control de toda la Copa Mundial de la FIFA!, advirtió.

Además, el acceso abierto a la nube de la FIFA implicaba la posibilidad de extraer información confidencial sobre presupuestos, informes de transferencias y otros documentos internos.

Cuál fue la respuesta de la FIFA ante esta vulnerabilidad

BobDaHacker, consciente de la gravedad de la situación y de las posibles implicaciones legales de cualquier manipulación, optó por no modificar nada. En vez de eso, trató de alertar a la FIFA.

Envió mensajes a los correos de los departamentos legales y tecnológicos, e incluso intentó contactar por teléfono y WhatsApp. Estos intentos resultaron infructuosos, ya que no recibió respuesta por parte de la organización.

Al no obtener reacción, la investigadora se dirigió a la agencia de ciberseguridad estadounidense (CISA) y al FBI, quienes finalmente tomaron nota del incidente. A la mañana siguiente, la vulnerabilidad había sido corregida.

Sin embargo, la FIFA solucionó el fallo sin comunicarse nunca con la investigadora ni agradecerle su aporte. Hasta la fecha, la organización no ha emitido comentarios públicos sobre el caso ni sobre el proceso de corrección del sistema.